摘要
在美国东部时间2012年4月26日WebSphere应用服务器Web服务器插件自带的plugin-key.kdb密钥库文件密码到期后,WebSphere应用服务器和其Web服务器插件之间的SSL连接会失败,或者转换成非SSL的不安全连接。
内容
CVE 编号:CVE-2012-2162
如果您正在使用的是通过“WebSphere密钥和证书管理”生成的的插件密钥库,则不会受到此问题的影响。如果您正在使用的是WebSphere应用服务器Web服务器插件安装时的默认密钥库,并且您从未更改过密钥库的密码,则您必须立刻更新插件密钥库plugin-key.kdb即将到期的密码,以避免安全暴露的隐患。通常,作为一个最佳实践,IBM建议您总是更新密码的初始值以加强您系统的安全性。
关于这个特定的安全暴露问题,由于大多数用户并没有在实际的运行时环境中使用这个受影响的密钥库文件,所以不会受到此问题的影响。然而,还是有部分用户需要采取行动,使用证书管理工具删除掉在2012年4月26日到期的密码以避免此问题的发生。
如果您已经按照 紧急通知 “密钥库plugin-key.kdb的密码将在2012年4月26日到期”
解决了密钥库文件plugin-key.kdb密码到期问题,则不需要进一步阅读此文档或采取进一步行动了。
如果您还没有阅读以上紧急通知文档并解决此问题,请阅读并参照以下所描述的步骤采取行动。
本紧急通知是为了发出紧急警告,如果您不在2012年4月26日前采取行动,您将会遇到密钥库plugin-key.kdb的密码将在2012年4月26日到期的问题。
受影响的版本:
所有在分布式平台,IBM i系列,和z/OS操作系统上的WebSphere应用服务器版本(V8.0及早期版本)都将受到影响。
注意:IBM已经不再提供对于6.0及更早版的支持服务。如果您需要继续得到支持服务,您需要购买扩展支持,或者您是有权得到支持的用户。
问题描述:
常见漏洞评分系统(CVSS)评分:
CVSS 基础得分: 6.8
CVSS 当前得分: 当前评分请参见 http://xforce.iss.net/xforce/xfdb/74900
CVSS 环境评分*: 未定义
CVSS 字符串: (AV:N/AC:M/Au:N/C:P/I:P/A:P)
以下是对于plugin-key.kdb密钥库文件密码即将到期的问题描述,对于已经采取了提前措施的Web服务器用户将不受此问题的影响。
WebSphere应用服务器Web服务器插件时,会生成一个plugin-key.kdb密钥库文件,其默认密码WebAS的到期时间被设置为美国东部时间2012年4月26日。
注意:本问题与2012年2月6日发布的紧急通知“IBM HTTP 服务器插件个人证书将在2012年4月26日到期”所描述的问题是不同的,需要采取的行动也是不同的。
密钥库密码到期后,在下一次重新启动Web服务器插件,或修改插件配置文件plugin-cfg.xml时,Web服务器插件与WebSphere应用服务器之间的SSL连接可能会建立失败,或者转换成非SSL的不被加密的连接。
如果Web服务器不使用plugin-key.kdb与客户端(浏览器)做证书交换,那么他们之间的连接将不受此问题的影响。只有Web服务器插件与WebSphere应用服务器之间的连接会受到此问题的影响。对于使用plugin-key.kdb作为Web服务器密钥库文件的系统,需要采取本紧急通知文档中列出的步骤来解决安全暴露问题。
在一些不常见的配置中,HTTP传输通道被明确地禁用,阻止,或者删除,Web服务器插件将无法转发请求,并立即返回错误(HTTP 500 – 服务器内部错误)
解决办法:
阅读并根据紧急通知 “密钥库plugin-key.kdb的密码将在2012年4月26日到期”中列出的步骤操作。
参考:
完整的常见漏洞评分系统(CVSS)指导链接 (http://www.first.org/cvss/cvss-guide.html)
在线计算器V2 版 (http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2)
*CVSS环境评分是根据客户具体环境得出的,并最终影响到CVSS的总分。客户可以访问以上参考部分中的链接,来评估本安全漏洞对于您的环境的影响。
注意:根据事件响应和安全团队(FIRST),常见漏洞评分系统(CVSS)是一个“被设计为传递安全漏洞并帮助判断紧急性与响应优先级的工业界开放标准”。IBM只提供CVSS评分,不提供任何形式的担保,包括适销性和适用性的特定用途的担保。客户需要负责评估任何实际或潜在的安全漏洞的影响。
相关链接
:
IBM HTTP 服务器插件个人证书将在2012年4月26日到期
密钥库plugin-key.kdb的密码将在2012年4月26日到期
收起